배송지 목록 페이지 1억4800만여회 조회
이름·연락처·주소·공동현관 비번 등 포함
주문 상품 내역도 공격자에 노출
쿠팡 인증체계 미흡…위·변조 확인절차 없어
침해사고 신고 지연·자료보전 명령 불이행 확인
쿠팡의 대규모 개인정보 유출 사고에 대한 정부 차원의 첫 조사 결과가 나왔다. 쿠팡 이용자들의 이름과 이메일 등 개인정보 3367만건이 유출된 것으로 확인됐는데 이 과정에서 연락처, 배송 주소, 공동현관 비밀번호, 주문 상품 목록 등이 포함된 페이지가 공격자에게 노출된 것으로 나타났다. 아울러 쿠팡 측의 신고 지연과 자료보전 명령 위반 사실도 확인됐다.
과학기술정보통신부는 10일 오후 서울 종로구 정부서울청사에서 브리핑을 열고 쿠팡 침해사고에 대한 민관합동조사단(합조단)의 이 같은 조사 결과를 발표했다. 합조단은 2024년 11월29일부터 지난해 12월31일까지의 쿠팡 접속기록(로그) 총 25.6TB 분량의 데이터를 분석했다.
이용자 정보 약 3367만건 유출 확인
합조단에 따르면 공격자는 지난해 11월 쿠팡에서 정보를 유출했다는 내용의 메일을 두 차례 쿠팡 측에 보냈다. 이메일에는 ▲'내 정보 수정' 페이지 성명, 이메일 ▲'배송지 목록 페이지'의 성명, 전화번호, 주소, 공동현관 비밀번호 정보 ▲'주문 목록' 페이지의 이용자가 주문한 상품 정보 등 유출해 얻은 정보 일부가 담겼다.
합조단의 조사 결과, 내정보 수정 페이지에서 이름과 이메일이 포함된 이용자 정보 약 3367만건이 유출된 것으로 확인됐다. 이는 쿠팡이 지난해 11월 자체 조사해 발표했던 개인정보 유출 건수인 3370만여건과 유사한 수치다.
특히 이 과정에서 공격자는 배송지 목록 페이지를 1억4800만여회 조회해 정보를 유출했다. 이는 공격자가 배송지 목록 페이지를 방문한 횟수를 의미한다. 이 페이지에는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함됐다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있었다. 이름, 전화번호, 배송지 주소와 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지도 5만474회 조회됐다.
아울러 이용자들이 주문한 상품 내역 역시 정보가 노출됐다. 합조단 조사 결과 공격자는 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 10만2682회 조회했다. 공격자가 지난해 11월 쿠팡에 보낸 메일에도 일부 고객의 주문상품 정보가 포함됐다.
합조단이 발표한 유출 규모는 웹 접속기록 등을 기반으로 산정된 수치다. 향후 구체적인 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표할 예정이다.
합조단은 조사 과정에서 쿠팡의 웹과 애플리케이션(앱) 접속기록(로그) 등 관련 자료에 대한 종합적인 분석을 실시했다. 쿠팡으로부터 제출받은 공격자 PC 저장장치(HDD 2대·SSD 2대)와 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석도 함께 진행했다. 아울러 쿠팡 전사 차원의 정보보호 관리체계 역시 점검했다.
공격자는 알려진 대로 쿠팡 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어(SW) 개발자로 확인됐다. 합조단은 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출했다고 설명했다.
쿠팡의 관리 서버에 접근하기 위해서는 로그인 절차를 거쳐 일종의 '전자 출입증'을 발급받는다. 쿠팡의 관문 서버는 발급받은 전자 출입증의 유효성을 검증한 뒤 이상이 없을 시에만 서비스 접속을 허용한다. 하지만 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취, 전자 출입증을 위·변조해 쿠팡의 인증체계를 통과했다.이후 본격적인 공격을 위한 사전 테스트를 진행한 뒤 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 공격자가 동원한 인터넷 프로토콜(IP) 주소는 총 2313개에 달한다.
"쿠팡에 전자 출입증 위·변조 확인 절차 없어"
합조단 조사 결과 쿠팡에는 전자 출입증이 위·변조됐는지 확인하는 절차가 없었다. 아울러 업무 담당자가 퇴사할 경우 해당 서명키를 더 이상 이용하지 못하도록 갱신 절차가 진행돼야 했지만 관련 체계와 절차도 미비했다. 여기에 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 했지만 키 이력 관리 체계가 없어 목적 외 사용을 파악하는 것이 불가능하다는 점도 확인했다.
쿠팡에서 3000만 건이 넘는 대규모 개인정보 유출 사고가 발생했다. 이는 경제활동인구 2969만 명을 넘어서는 규모로 역대 최악의 유출사고이다. 사진은 1일 쿠팡 본사. 2025.12.01 윤동주 기자
쿠팡의 법령 위반 사례도 확인됐다. 정보통신망법에 따르면 침해사고 인지 후 24시간 이내에 과기정통부나 한국인터넷진흥원(KISA)에 신고해야 하지만 쿠팡은 정보보호최고책임자(CISO)에게 사건을 최초 보고한 뒤 이틀이 지나서야 KISA에 신고했다.
정부의 자료보전 명령도 이행하지 않았다. 과기정통부는 침해사고 원인 분석을 위해 지난해 11월 자료보전을 명령했지만 쿠팡은 자동 로그 저장 정책을 조정하지 않아 약 5개월 분량의 웹 접속기록이 삭제됐다. 앱 접속기록(로그)도 지난해 5월23일부터 6월2일까지의 데이터가 삭제됐다.
정부는 침해사고 지연에 대해서는 과태료를 부과할 예정이다. 자료보전 명령을 지키지 않은 데 대해서는 수사기관에 수사를 의뢰했다.
지금 뜨는 뉴스
과기정통부는 합조단의 조사 결과를 바탕으로 쿠팡에 재발방지 대책에 따른 이행계획을 이달 중 제출하도록 할 계획이다. 이어 오는 6~7월께 쿠팡의 이행 여부를 점검한다는 계획이다. 이행점검 결과 보완이 필요한 사항에는 시정조치를 명령할 예정이다.
이명환 기자 lifehwan@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
![전문가 4인이 말하는 '의료 생태계의 대전환'[비대면진료의 미래⑥]](https://cwcontent.asiae.co.kr/asiaresize/319/2026013014211022823_1769750471.png)
